3 أسباب تحول دون اختراق «أبل باي»
التطبيق يشكل تحدياً كبيراً أمام القراصنة
دائما ما ينتظر قراصنة الإنترنت نزول برامج حوسبة جديدة إلى السوق. وتشكّل البرامج الجديدة وفق ما يؤكد الخبراء تحدياً جديداً أمام هؤلاء القراصنة، الذي يسعون «لتحطيم» دفاعات ومصدات هذه البرامج، سواء أكانت خاصة بالهواتف الذكية أو التطبيقات الأخرى.
ويبين خبراء في تقرير خاص أعده موقع «بزنس إنسيدير» حول التطبيقات الجديدة، أن تطبيق الدفع الجديد الذي أنتجته شركة «أبل» (Apple Pay) أخيراً، يشكل أحد أبرز التحديات أمام القراصنة الذين يحاولون إيجاد ثغرة تمكنهم من اختراق التطبيق الجديد.
وأشار التقرير إلى أنه مع إطلاق هذه الخدمة في المملكة المتحدة في الرابع عشر من يوليو الجاري، فلم تظهر حتى اللحظة أي محاولات تؤكد إمكانية الولوج لهذا التطبيق. ورأى الخبير غريدي سامرز من مؤسسة «FireEye» الأمنية، أن هناك 3 أسباب أساسية تمنع أي شخص من اختراق التطبيق:
1 - أن «Apple Pay» لا تقوم بتخزين بطاقة معلومات خاصة بمستخدم التطبيق.
2 - أنها تقوم بتشفير البيانات التي يتم إرسالها خلال عملية السداد.
3 - تسمح لمستخدمي التطبيق بحماية عمليات السداد باستخدام ماسح ضوئي لبصمات الأصابع الخاصة بالمستخدم.
ويضيف سامرز أن الخطوتين الأولى والثانية تمنعان القراصنة من استخدام حيلهم القديمة لسرقة مبالغ السداد عند نقاط البيع داخل المتاجر، عازياً السبب إلى أن «Apple Pay» لا تقوم بذكر رقم البطاقة الائتمانية للعميل أثناء عملية السداد.
ويضيف «بدلا من إرسال معلومات البطاقة الائتمانية، فإن الهاتف الذي يستخدم تطبيق خدمة السداد الخاص بـ (Apple Pay) يرسل شفرة للجهاز ومعها بطاقة تعريف لعملية التحويل نفسها من دون تخزين بيانات البطاقة، وعليه فإن الحيل التي يستخدمها القراصنة عادة لسرقة بطاقات الائتمان غير ذات فائدة».
ومن المعروف أن استهداف نقاط البيع يعتبر حيلة شائعة لسرقة النقود في مجتمع قراصنة الحواسيب، وهي وسيلة نتج عنها بعض أسوأ سرقات البيانات على الإطلاق. ففي عام 2013 وفي هجوم استهدف أنظمة نقاط بيع، تمكن قراصنة مجهولون من سرقة بيانات ما يزيد على 70 مليون عميل.
وذكر سامرز أن الماسح الضوئي لبطاقة التعريف الخاصة بالمستخدم يضيف تعقيداً آخر، كونه يمنع القراصنة من التحايل لاختراق دفاعات خدمة «Apple Pay»، حتى وإن استطاعوا الولوج لهاتف «iPhone» الخاص بالضحية.
ويعتبر سامرز «أن استخدام (Apple) لتعريف بصمة الاصبع يضيف عائقا جديدا، فاللص لا يستطيع استخدام رقم تعريف شخصي مسروق باستخدام بطاقة المستخدم، فهو يحتاج لسرقة البصمة بشكل ما، وهذا أمر يصعب القيام به إن لم يكن مستحيلا».
والماسح الضوئي لبطاقة التعريف الخاصة بالمستخدم، سمة تم استخدامها لأول مرة مع جهاز (iPhone 5S)، وهي تسمح للمستخدم بضبط جهازه وفق ما يراه مناسباً لتنفيذ عمليات أو إجراءات معينة، لا يمكن أن تتم إلا بعد قيام المستخدم نفسه بتأكيد عملية التعريف من الاستعانة بهذه الخدمة.
البحث عن تقنية جديدة
يقول سامرز إنه لاختراق الأمن الخاص بخدمة «Apple Pay» الجديدة، ينبغي على القراصنة ابتكار تقنية اختراق جديدة.
ويضيف «من الناحية النظرية، يمكن لقراصنة الحواسيب الصعود الى هوائي قريب من جهاز خاص بنقطة بيع ويقوم بسرقة البيانات التي يتم بثها، ولكن مثل هذا الأمر لن يفيد هؤلاء في شيء بسبب التشفير بين جهاز نقطة البيع والمحطة الرئيسية».
ويوضح «الى جانب ذلك، فإن الشفرات الفريدة التي ترسلها (Apple Pay) يتم استخدامها لمرة واحدة فقط، لذلك فلو تمكن احد القراصنة من سرقتها فلن يستفيد منها، وهي في ذلك تشبه تذكرة الدخول الى السينما أو المسرح أي صالحة لمرة واحدة فقط».
ويشير الخبير في شركة «FireEye» إلى أن الصعوبات تعني أن من غير المحتمل أن يفكر القراصنة في محاولة اختراق خدمة (Apple Pay) في المستقبل المنظور، ولذا يبقى السؤال الأهم هو هل سيزعج القراصنة أنفسهم بالمحاولة؟
ويجيب سامرز عن هذا التساؤل بالقول«إن التجربة تؤكد أن القراصنة يسلكون الطريق الذي يجدون فيه أقل قدر من المقاومة، وطالما أن هناك تجارا لا يزالون يقبلون أساليب سداد عادية، فأتوقع أن يركز القراصنة جهودهم على هؤلاء التجار».
وليس سامرز وحده الذي يعتقد أنه سيمر بعض الوقت قبل أن يزعج القراصنة أنفسهم باستهداف خدمة (Apple Pay) الجديدة، إذ يرى مدير شركة«Blue Coat Systems»روبرت أرانديلوفيتش من جهته أن الكلفة المطلوبة لاستهداف خدمة (Apple Pay) الجديدة ستثني معظم جماعات القراصنة عن القيام بذلك.
ويبين خبراء في تقرير خاص أعده موقع «بزنس إنسيدير» حول التطبيقات الجديدة، أن تطبيق الدفع الجديد الذي أنتجته شركة «أبل» (Apple Pay) أخيراً، يشكل أحد أبرز التحديات أمام القراصنة الذين يحاولون إيجاد ثغرة تمكنهم من اختراق التطبيق الجديد.
وأشار التقرير إلى أنه مع إطلاق هذه الخدمة في المملكة المتحدة في الرابع عشر من يوليو الجاري، فلم تظهر حتى اللحظة أي محاولات تؤكد إمكانية الولوج لهذا التطبيق. ورأى الخبير غريدي سامرز من مؤسسة «FireEye» الأمنية، أن هناك 3 أسباب أساسية تمنع أي شخص من اختراق التطبيق:
1 - أن «Apple Pay» لا تقوم بتخزين بطاقة معلومات خاصة بمستخدم التطبيق.
2 - أنها تقوم بتشفير البيانات التي يتم إرسالها خلال عملية السداد.
3 - تسمح لمستخدمي التطبيق بحماية عمليات السداد باستخدام ماسح ضوئي لبصمات الأصابع الخاصة بالمستخدم.
ويضيف سامرز أن الخطوتين الأولى والثانية تمنعان القراصنة من استخدام حيلهم القديمة لسرقة مبالغ السداد عند نقاط البيع داخل المتاجر، عازياً السبب إلى أن «Apple Pay» لا تقوم بذكر رقم البطاقة الائتمانية للعميل أثناء عملية السداد.
ويضيف «بدلا من إرسال معلومات البطاقة الائتمانية، فإن الهاتف الذي يستخدم تطبيق خدمة السداد الخاص بـ (Apple Pay) يرسل شفرة للجهاز ومعها بطاقة تعريف لعملية التحويل نفسها من دون تخزين بيانات البطاقة، وعليه فإن الحيل التي يستخدمها القراصنة عادة لسرقة بطاقات الائتمان غير ذات فائدة».
ومن المعروف أن استهداف نقاط البيع يعتبر حيلة شائعة لسرقة النقود في مجتمع قراصنة الحواسيب، وهي وسيلة نتج عنها بعض أسوأ سرقات البيانات على الإطلاق. ففي عام 2013 وفي هجوم استهدف أنظمة نقاط بيع، تمكن قراصنة مجهولون من سرقة بيانات ما يزيد على 70 مليون عميل.
وذكر سامرز أن الماسح الضوئي لبطاقة التعريف الخاصة بالمستخدم يضيف تعقيداً آخر، كونه يمنع القراصنة من التحايل لاختراق دفاعات خدمة «Apple Pay»، حتى وإن استطاعوا الولوج لهاتف «iPhone» الخاص بالضحية.
ويعتبر سامرز «أن استخدام (Apple) لتعريف بصمة الاصبع يضيف عائقا جديدا، فاللص لا يستطيع استخدام رقم تعريف شخصي مسروق باستخدام بطاقة المستخدم، فهو يحتاج لسرقة البصمة بشكل ما، وهذا أمر يصعب القيام به إن لم يكن مستحيلا».
والماسح الضوئي لبطاقة التعريف الخاصة بالمستخدم، سمة تم استخدامها لأول مرة مع جهاز (iPhone 5S)، وهي تسمح للمستخدم بضبط جهازه وفق ما يراه مناسباً لتنفيذ عمليات أو إجراءات معينة، لا يمكن أن تتم إلا بعد قيام المستخدم نفسه بتأكيد عملية التعريف من الاستعانة بهذه الخدمة.
البحث عن تقنية جديدة
يقول سامرز إنه لاختراق الأمن الخاص بخدمة «Apple Pay» الجديدة، ينبغي على القراصنة ابتكار تقنية اختراق جديدة.
ويضيف «من الناحية النظرية، يمكن لقراصنة الحواسيب الصعود الى هوائي قريب من جهاز خاص بنقطة بيع ويقوم بسرقة البيانات التي يتم بثها، ولكن مثل هذا الأمر لن يفيد هؤلاء في شيء بسبب التشفير بين جهاز نقطة البيع والمحطة الرئيسية».
ويوضح «الى جانب ذلك، فإن الشفرات الفريدة التي ترسلها (Apple Pay) يتم استخدامها لمرة واحدة فقط، لذلك فلو تمكن احد القراصنة من سرقتها فلن يستفيد منها، وهي في ذلك تشبه تذكرة الدخول الى السينما أو المسرح أي صالحة لمرة واحدة فقط».
ويشير الخبير في شركة «FireEye» إلى أن الصعوبات تعني أن من غير المحتمل أن يفكر القراصنة في محاولة اختراق خدمة (Apple Pay) في المستقبل المنظور، ولذا يبقى السؤال الأهم هو هل سيزعج القراصنة أنفسهم بالمحاولة؟
ويجيب سامرز عن هذا التساؤل بالقول«إن التجربة تؤكد أن القراصنة يسلكون الطريق الذي يجدون فيه أقل قدر من المقاومة، وطالما أن هناك تجارا لا يزالون يقبلون أساليب سداد عادية، فأتوقع أن يركز القراصنة جهودهم على هؤلاء التجار».
وليس سامرز وحده الذي يعتقد أنه سيمر بعض الوقت قبل أن يزعج القراصنة أنفسهم باستهداف خدمة (Apple Pay) الجديدة، إذ يرى مدير شركة«Blue Coat Systems»روبرت أرانديلوفيتش من جهته أن الكلفة المطلوبة لاستهداف خدمة (Apple Pay) الجديدة ستثني معظم جماعات القراصنة عن القيام بذلك.
